Datenschutz in der Zahnarztpraxis. Rechtsanwalt Peter Ihle Hauptgeschäftsführer der ZÄK M-V

Transkript

1 Datenschutz in der Zahnarztpraxis

2 1. Rechtsvorschriften 2. Verarbeitungsgrundsätze 3. Begriffsbestimmungen 4. Maßnahmen

3 1. Rechtsvorschriften

4 Rechtsvorschriften

5 Die DSGVO ist am in Kraft getreten und ab dem anwendbar

6 2. Verarbeitungsgrundsätze

7 Grundsätze der Datenverarbeitung nach DSGVO

8 Rechtmäßigkeit Recht auf informationelle Selbstbestimmung: Der Umgang mit personenbezogenen Daten ist verboten, sofern keine Erlaubnis vorliegt. Konkreter: Die Verarbeitung von..gesundheitsdaten ist grundsätzlich untersagt, Art. 9 Abs. 1 DSGVO.

9 Rechtmäßigkeit, z.b. -Verarbeitung ist zur Erfüllung eines Vertrages erforderlich - Verarbeitung ist zur Erfüllung rechtlicher Verpflichtungen erforderlich -Einwilligung des Betroffenen -Auch: Schutz lebenswichtiger Interessen und berechtigtes Interesse des Verantwortlichen (Interessenabwägung erforderlich)

10 Rechtmäßigkeit, z.b. Die Verarbeitung von Gesundheitsdaten ist u.a. zulässig im Bereich der Prävention, der Diagnose, der direkten (zahn-)ärztlichen Behandlung sowie in der Nachversorgung, Art. 9 Abs. 2 h.) DSGVO

11 Rechtmäßigkeit, z.b. - Die zahnärztliche Behandlung erfolgt in der Regel aufgrund gesetzlicher Verpflichtung (Versorgungsauftrag) und vertraglicher Vereinbarung (Behandlungsvertrag), sodass regelmäßig keine gesonderte Einwilligung für die Datenverarbeitung erforderlich ist. -Ausnahmen z.b.: Aufnahme Recall, Nutzung von Verrechnungsstellen u.ä.

12 Einwilligung bei Minderjährigen -Kommentar zu Art. 7 DSGVO: Die Wirksamkeit einer Einwilligung setzt eine entsprechende Einsichtsfähigkeit der betroffenen Person voraus, die im Einzelfall zu beurteilen ist.

13 Transparenz Der Betroffene ist umfassend über die Datenerhebung zu informieren.

14 Zweckbindung Daten dürfen nur für die Zwecke verwendet werden, für die sie erhoben wurden.

15 Datenminimierung Es dürfen nur Daten erhoben werden, die zur Erreichung des Zweckes erforderlich sind.

16 Richtigkeit Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

17 Speicherbegrenzung Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

18 Integrität und Vertraulichkeit Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

19 Rechenschaftspflicht (neu) Beweislastumkehr: Der Verantwortliche ist für die Einhaltung der vorgenannten Verpflichtungen verantwortlich und muss deren Einhaltung nachweisen können.

20 Bußgelder (neu) Abhängig von der Art des Verstoßes bis zu Euro bzw. bis zu 4% des Jahresumsatzes.

21 3. Begriffsbestimmungen

22 Adressat DSGVO Jeder, der außerhalb des rein privaten Bereichs mit personenbezogenen Daten umgeht, z.b.: Unternehmen (Arzt- und Zahnarztpraxen) Verbände (ZÄK) Vereine

23 Adressat DSGVO Gilt nicht bei Verarbeitung rein persönlicher, familiärer Daten durch natürliche Personen

24 Personenbezogene Daten Alle Informationen, die sich auf eine identifizierte oder identifzierbare natürliche Person beziehen, z.b. Namen, Geburtsdaten, Adresse, Familienstand, Gesundheitsdaten etc.

25 Verarbeitung Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung

26 Verantwortlicher Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

27 Auftragsverarbeitung Verarbeitung personenbezogener Daten durch eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle im Auftrag des Verantwortlichen, z.b. -Zahntechniker (str.), -Steuerberater, -IT-Betreuer.

28 4. Maßnahmen (Was ist zu tun?)

29 - Meldung von Datenschutzverstößen innerhalb von 72 Stunden an Landesdatenschutzbeauftragten - Aufstellung interner Datenschutzrichtlinien

30 Erstellung eines Verarbeitungsverzeichnisses Für jedes Datenverarbeitungsverfahren ist ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen, wenn die Verarbeitung besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO einschließt

31 Erstellung eines Verarbeitungsverzeichnisses Verfahren sind z.b.: Führung von Patientenakten Terminverwaltung Honorarabrechnung Forderungsdurchsetzung Patientenrecall Buchhaltung Lohnbuchhaltung Führung der Personalakte etc.

32 Erstellung eines Verarbeitungsverzeichnisses Notwendiger Inhalt: -Name und Kontaktdaten der Praxis -Namen und Kontaktdaten eines DB -Zweck der Datenverarbeitung -Art der betroffenen Personen (Patient, Mitarbeiter, Lieferant) -Art der verarbeiteten Daten (Gesundheitsdaten, Arbeitsvertragsdaten etc.) -Mögliche Empfänger übermittelter Daten (KZV, Verrechnungsstellen, Krankenkassen) -Maßnahmen der Datensicherheit

33 Erstellung eines Verarbeitungsverzeichnisses

34 GAP Analyse Suche nach Datenschutzlücken -Rechtmäßigkeit -Datensparsamkeit -Datenrichtigkeit -Löschfristen -Zugriffsrechte -Zugangskontrolle

35 Datensicherheit Technische und organisatorische Maßnahmen -Verschlüsselung ( s!!!) -Pseudonymisierung (soweit möglich) -Stabilität, d.h. Sicherstellung der Vertraulichkeit, Verfügbarkeit etc. -Wiederherstellbarkeit (Schutz vor Datenverlust) -Regelmäßige Überpüfung

36 Auftragsvereinbarungen Werden personenbezogene Daten von anderen natürlichen oder juristischen Personen bearbeitet, ist der Auftragsverarbeiter zur Einhaltung datenschutzrechtlicher Bestimmungen zu verpflichten.

37 Auftragsvereinbarungen

38 Datenschutzinformation Betroffenenrechte: - Informationspflicht bei Erhebung von Daten - Informationspflicht, wenn Daten nicht bei Betroffenen erhoben wurden - Auskunftsrecht (Ob und Umfang der Datenerhebung) - Recht auf Berichtigung, Löschung, Widerspruch, Einschränkung und Übertragbarkeit

39 Datenschutzinformation Alle Informationen, die sich auf die Verarbeitung beziehen, sind in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.

40 Datenschutzinformation - Allgemeine Hinweise für jeden Patienten und Mitarbeiter - Allgemeine Hinweise auf Websites

41 Datenschutzinformation. Inhalt: -Name und Kontaktdaten der Praxis -Name und Kontaktdaten des DB -Art der verarbeiteten Daten -Zweck der Datenverarbeitung -Art betroffener Personen -Mögliche Datenempfänger -Löschfristen -Datenschutzrechtliche Ansprüche d. Betroffenen -Widerrufsrecht -Beschwerderecht

42 Datenschutzinformation.

43 Datenschutzfolgenabschätzung Die Datenschutzfolgenabschätzung dient der Bewertung von hohen Risiken im Zusammenhang mit Datenverarbeitungsvorgängen. Bei der Verarbeitung von Gesundheitsdaten geht der Gesetzgeber grundsätzlich von einem abstrakten Risiko für die Rechte und Freiheiten der Patienten aus, wenn sie umfangreich sind. In der Regel wird in einer Zahnarztpraxis keine Datenschutzfolgenabschätzung erforderlich sein. Besondere Umstände könnten diese allerdings erforderlich machen (Verwendung einer Cloud oder von Gesundheitsapps, Teilnahme an Netzwerken etc.)

44 Datenschutzfolgenabschätzung Eine besondere Form der Dokumentation verlangt in bestimmten Fällen die Datenschutz-Folgenabschätzung. Eine Datenschutz-Folgenabschätzung kann bei einer umfangreichen Verarbeitung von Gesundheitsdaten erforderlich sein. Verarbeiten in einer Praxis weniger als 10 Personen personenbezogene Daten (Mitarbeiter und Ärzte), wird in der Regel nicht von einer umfangreichen Verarbeitung von Gesundheitsdaten auszugehen sein. Allerdings können auch andere Risikofaktoren, wie beispielsweise die Speicherung von Patientendaten in einer Cloud, die Einbindung von Gesundheitsapps, die Übermittlung von Gesundheitsdaten in Drittstaaten im Rahmen von Forschungsvorhaben oder die Teilnahme an Gesundheitsnetzwerken eine Datenschutz- Folgenabschätzung erforderlich machen.

45 Bestellung eines Datenschutzbeauftragten? Erforderlich, wenn mindestens 10 Personen in der Praxis regelmäßig mit der automatisierten Datenverarbeitung beschäftigt (d.h. befasst) sind. Praxisinhaber sind zu berücksichtigen.

46 Bestellung eines Datenschutzbeauftragten? - Extern oder intern? - Mitteilung an Landesdatenschutzbehörde

47 Bestellung eines Datenschutzbeauftragten? Aufgaben: - Praxisleitung unterstellt, aber nicht weisungsgebunden - Überwachung der Datenverarbeitungsprozesse - Beratung und Schulung - Kontakt zur Datenschutzbehörde

48 Bestellung eines Datenschutzbeauftragten?

49 Sonstige Maßnahmen - Meldung von Datenschutzverstößen innerhalb von 72 Stunden an Landesdatenschutzbeauftragten - Aufstellung interner Datenschutzrichtlinien Selbstcheck - zin/arztpraxis/171101_selbst_check.pdf

50